二十年律师经验,现为湖南宋牧律师事务所执行主任,对刑事辩护、民事代理、合同纠纷、侵权纠纷、物权纠纷、劳动争议、医疗纠纷、婚姻家庭纠纷案件具有娴熟的服务技能,律师从业以来先后办理了数百件诉讼、非诉讼案件,执业期间,带领团队办理过数以百计的诉讼案件,积累丰富的办案实践经验和专业的刑辩技巧,擅长办理重大、复杂刑事案件。同时,在公司刑事合规及公司高管的刑事责任风险等领域有丰富的经验。
立刻咨询
二十年律师经验,现为湖南宋牧律师事务所执行主任,对刑事辩护、民事代理、合同纠纷、侵权纠纷、物权纠纷、劳动争议、医疗纠纷、婚姻家庭纠纷案件具有娴熟的服务技能,律师从业以来先后办理了数百件诉讼、非诉讼案件,执业期间,带领团队办理过数以百计的诉讼案件,积累丰富的办案实践经验和专业的刑辩技巧,擅长办理重大、复杂刑事案件。同时,在公司刑事合规及公司高管的刑事责任风险等领域有丰富的经验。
立刻咨询
一、引言
《网络安全法》自生效以来,对企业的网络产品、安全服务、跨境数据传输、个人信息保护等方面提出了更高的要求。其中,《网络安全法》及其配套规范性文件对企业收集/接收、存储、授权第三方使用消费者个人信息等环节的规范备受关注,并成为近期有关执法部门关注的重点。
据媒体报道,2017年12月11日,江苏省消费者权益保护委员会就北京百度网讯科技有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼,2018年1月2日,南京市中级人民法院已正式立案。与此同时,工业和信息化部信息通信管理局近日约谈了北京百度网讯科技有限公司、蚂蚁金服集团公司(支付宝)、北京字节跳动科技有限公司。该局指出,对照《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)有关规定,三家企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况,要求三家企业本着充分保障用户知情权和选择权的原则立即进行整改。此外,近日有媒体发现携程旅行、拼多多、赶集网、1号店等APP在不同程度存在可能违反个人信息保护有关法律法规及《个人信息安全规范》国家标准精神的问题。其中,主要问题表现为APP开启的隐私权限与其主营业务无关和/或未经明示隐私协议或提醒就开启包括相机、录音在内的多个敏感权限。
鉴于上述事件背景,以及工信部等有关部门加强对互联网服务信息收集使用规则告知、账号注销等环节的监督检查,严肃查处违法违规行为并向社会曝光的坚定立场与态度,本文拟结合实例就企业收集/接收消费者个人信息、以及授权第三方使用消费者个人信息数据的法律风险、实现路径等问题进行分析,以期能为企业在实际工作中高效、合规开展相关业务提供帮助和参考。
二、企业收集、接收消费者个人信息的原则与实现方式
1.企业收集消费者个人信息的基本原则
根据《网络安全法》规定,企业收集消费者个人信息应当遵循公开性原则、合法、正当性原则以及必要性原则。
公开性原则,是指《网络安全法》第22条规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定”。
合法、正当性原则,是指《网络安全法》第41条第1款规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。
必要性原则,是指《网络安全法》第41条第2款规定:“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息”。
2.企业合法合规收集消费者个人信息的方式
企业在收集消费者个人信息之前应当得到消费者的授权或同意。取得消费者授权或同意的方式可以是在用户协议中植入消费者授权或同意企业收集、使用其个人信息的条款,也可以是通过单独的隐私协议或说明等其它书面方式取得消费者授权或同意。
在设计该上述条款、协议或说明时,企业可以参考《信息安全技术 个人信息安全规范》(征求意见稿及报批稿),尽量保证:
(1) 消费者的同意是在其完全知情的基础上自愿给出的、具体的、明晰的愿望表示,如个人信息主体主动声明(电子或纸质形式)或主动点击“同意”选项,不得以默许同意方式获取用户同意;
(2) 收集身份证、护照、驾照等法定证件信息时,专门提醒个人信息主体此次收集活动涉及其法定证件信息,并说明处理目的;
(3) 主要业务面向未成年人的,在收集未成年人个人信息前应取得其监护人或法定代理人的明示同意;
(4) 告知消费者其个人信息收集的目的、处理规则、实际收集的个人信息范围,以及个人享有的访问、更正、删除个人信息、注销账户等权利。
以《腾讯微信软件许可及服务协议》和《花呗用户服务合同》为例,我们就上述内容进行简要说明:
(1) 在取得消费者同意方面,“微信PC版2.6”在安装使用前,用户需要主动点击“我已阅读并同意服务协议”选项,如果用户未点击该选项,则不能选中“安装微信”选项。如果点击“我已阅读并同意服务协议”中的“服务协议”,网页会自动跳转至《腾讯微信软件许可及服务协议》页面,其中有关于“用户个人信息保护”条款。在手机上使用支付宝app开通花呗时,花呗会提示用户“点击上述按钮同意《花呗用户服务合同》《芝麻服务协议》及授权条款”。如果用户点击《花呗用户服务合同》《芝麻服务协议》可以进入合同页面,其中有关于“信息收集、使用、共享”条款。如果用户不点击上述《花呗用户服务合同》《芝麻服务协议》同样可以点击“开通花呗”从而开通相关服务进行。在这里,从获得消费者明示同意的角度来看,我们认为,微信的设计与方式更加合理、规范。
微信和花呗使用前页面截图
(2) 具体条款方面,《腾讯微信软件许可及服务协议》中“用户个人信息保护”部分主要包括的内容有:除法律法规规定的情形外,未经用户许可腾讯不会向第三方公开、透露用户个人信息;腾讯会采取若干手段保护用户个人信息;列举了部分需要收集的个人信息;明确18岁以下未成年人在使用腾讯服务前,应取得家长或法定监护人的书面同意。《花呗用户服务合同》“信息收集、使用、共享”部分主要包括的内容有:列举部分需要收集的个人信息;说明收集信息的范围;明确使用目的;消费者同意授权花呗将其个人信息向第三方进行披露;消费者同意授权花呗将其个人信息提供给受委托的数据处理者进行处理。 通过比较,我们发现:腾讯和花呗均根据自己业务不同设置了不同的个人保护条款(腾讯植入了18岁以下使用者需要得到家长或监护人书面同意的条款;花呗植入了允许将信息在特定情况下披露给特定律师事务所与催收公司的条款)。同时,《腾讯微信软件许可及服务协议》、《花呗用户服务合同》均将客户指引到各自公司更为全面的隐私政策页面,即《腾讯隐私政策》与《蚂蚁金服隐私权政策》。因此,我们认为,企业在进行个人信息保护条款设计时,可以采取“特殊+普遍”的方式,即针对单项服务或产品,公司可以在用户协议中根据法律法规要求有针对性的植入关于个人信息保护的条款,同时在用户协议中将客户指引至一个适用于整个公司业务的、全面的隐私政策或协议中。
3.企业合法合规接收消费者个人信息的方式
除企业自行收集消费者个人信息外,企业从第三方处接收数据也是获取消费者个人信息的一种方式。由于数据转移、接收业务可能同时涉及行政责任(《网络安全法》等相关规定)与刑事责任(侵犯公民个人信息罪等),因此我们认为企业对数据接收业务的开展应当谨慎。特别是在金额较高、数据规模较大的业务中, 我们建议采用“合同约定+尽职调查”的方式减小接收数据的风险。
“合同约定”的方式是在数据接收方与数据提供方的协议中可以要求数据提供方承诺或保证以下内容:
(1) 其提供的数据来源合法、有效;
(2) 其提供该等数据的行为已经取得信息主体授权或同意;
(3) 其提供该等数据的方式符合法律法规的要求以及相关协议的约定。
“尽职调查”的方式是指,在“合同”约定的基础上,数据接收方可以对数据提供方开展适当尽职调查,尽职调查的内容包括但不限于以下方面:
(1) 对数据提供方数据来源的底层协议进行审查,确认协议中信息主体有授权或同意数据提供方收集、使用、向第三方提供其个人信息。如果没有此类授权或同意,需确保数据提供方已经以其他书面方式取得该等授权与同意;
(2) 对数据提供方数据来源的底层协议进行审查,确认取得的数据使用/披露范围是否足够覆盖数据提供方与接收方协议约定的范围。如果未能覆盖,需确保数据提供方就超出授权范围部分的数据使用/披露行为取得授权或同意;
(3) 对数据提供方企业的数据管理体系进行尽职调查,确保其系合法成立、有效存续的企业,且其数据管理体系、标准符合国家相关法律法规的要求。
三、企业将消费者个人信息交付第三方使用的原则与实现方式
《网络安全法》第42条第1款规定:“ 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。该条款确立了《网络安全法》框架下企业将消费者信息交付第三方使用的基本原则,企业向第三方提供消费者个人信息的情况有且仅有两种情况:(1)取得信息主体人授权或同意;(2)对数据进行处理使其无法识别特定个人且不能复原。
1.企业通过取得消费者同意从而实现将其个人信息交付第三方使用的方式
企业取得消费者同意将其个人信息在特定情况下交付第三方使用的方式,可以是通过在用户协议或服务合同中进行约定,从而取得授权。以《花呗用户服务合同》为例,其第4.3.4条约定:“当您违反与服务商的约定时,为维护服务商的合法权益,在您的同意下可向与服务商合作的律师事务所、催收公司、及服务商认为可向您传达信息的亲戚朋友、联系人等披露您的违约信息”。
如果企业未在相关协议中对向第三方披露消费者个人信息事宜进行约定,我们认为,企业在向第三方披露之前,应当取得消费者完全知情的、明确具体的、明示的书面授权。以通过平台网站更新协议的方式获得授权为例,我们认为企业在更新协议的时候应尽量保证授权条款要在平台网站上以醒目、明确、具体的方式显示,并确保消费者以主动点击“同意”选项等方式完成授权动作。
2.企业通过对数据进行处理从而实现将信息交付第三方使用的方式
《网络安全法》第42条所指的“经过处理无法识别特定个人且不能复原的”数据,一般理解即指数据脱敏。但是这里需要明确的是,脱敏(masking)只是去标识化(de-identification)的一种方法,还有很多方法可以实现去标识化比如采取其他密码技术(cryptographic tools),假名化技术(pseudonymization techniques)等,因此《网络安全法》第42条所指的“经过处理无法识别特定人且不能复原”实际是指数据去标识化,“脱敏”只是日常生活中大家的习惯性表达,从法律和技术角度来看,该表达并不严谨。
对于数据“脱敏“,目前暂时没有正式颁布的法律法规对其进行规范与要求,但是企业可以参考《信息安全技术 个人信息去标识化指南》(征求意见稿)进行合规自查,其中第4.1条规定,去标识化的目标之一系对直接标识符和标准标识符 进行删除或变化,避免攻击者根据这些属性直接识别或者结合其他信息识别出原始个人信息主体。第4.2条规定,对数据集去标识化应遵循合规、个人信息安全保护优先、技术和管理相结合、充分应用软件工具、持续改进的原则。另外,该指南附录A、B、C分别提供了常用去标识化技术、模型及选择供企业参考。
最后,需要注意的是,对数据进行去标识化,不可避免的会改变原始数据,这可能在特定业务场景下会对数据的有用性产生负面影响。因此,企业在选择数据“脱敏“还是取得消费者授权时候,应当结合自身业务特点进行分析比较,选择最有利于自身业务开展的方式方法。
四、小结
根据上述建议,我们现将企业合规收集/接收消费者个人信息、授权第三方使用消费者信息的思路归纳为以下几个方面,以供企业在实际工作进行参考:
1. 收集消费者个人信息必须提前取得消费者个人明示的书面同意;
2. 用户协议、服务合同等文本中关于个人信息保护的条款应当尽可能明确、具体、细化,并建立企业自身的隐私权政策;
3. 接收数据时应当在协议中尽可能要求数据提供方对其资质、行为等内容进行承诺保证,必要时可以在业务开展前进行尽职调查;
4. 企业将消费者信息交付第三方使用时应当取得信息主体明示的书面同意;
5. 数据进行“脱敏“处理尽量采用国家推荐标准方式,并对“脱敏”对于自身业务开展的影响进行评估。
参考文献
[1] 《中华人民共和国网络安全法》,全国人民代表大会常务委员会
[2] 《信息安全技术 个人信息安全规范》,全国信息安全标准化技术委员会
[3] 《信息安全技术 个人信息去标识化指南》,全国信息安全标准化技术委员会
[4] 《华为腾讯数据之争背后的用户授权问题探析》,吴丹君 周天一
[5] 《金融企业网络客户数据收集的法律分析及对策》,吴卫明
[6] 《大数据应用中数据收集的合法性分析》,陈际红
[7] 《用户数据使用合规实务指南》,熊定中、向子瞭
[8] 《工信部就个人信息保护问题约谈百度、支付宝、今日头条》,
https://mp.weixin.qq.com/s/oh0NhJsDlIoTlr-sEYgfig##
[9] 《APP权限“越界”爱奇艺优酷开启与业主无关隐私权限》,新京报
[10] 《国家网信办网络安全协调局约谈“支付宝年度账单事件”当事企业负责人》,
https://mp.weixin.qq.com/s/ueq4MVCu_xWztYuoOaepCg
[11] 腾讯隐私政策,http://www.qq.com/privacy.htm
[12]蚂蚁金服隐私权政策,
https://docs.alipay.com/policies/privacy/antfin
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
